Eventi dei log di Gmail

In qualità di amministratore della tua organizzazione, puoi eseguire ricerche relative agli eventi dei log di Gmail e intervenire in base ai risultati di ricerca. Puoi visualizzare le azioni per esaminare le attività degli utenti e degli amministratori della tua organizzazione in Gmail, ad esempio quando le email vengono classificate come spam, rimosse dalla quarantena o inviate alla quarantena amministrativa. Puoi quindi utilizzare lo strumento di indagine sulla sicurezza per intervenire, ad esempio, per eliminare messaggi specifici, contrassegnarli come spam o phishing, metterli in quarantena o inviarli alla Posta in arrivo degli utenti.

Informazioni sulla visualizzazione dei contenuti dei messaggi di Gmail

Se disponi dei privilegi appropriati nello strumento di indagine e della versione di Google Workspace richiesta, puoi visualizzare i contenuti di un messaggio di Gmail anche nell'ambito di un'indagine. Per maggiori dettagli, vai a Utilizzare lo strumento di indagine per visualizzare i contenuti sensibili.

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.

  1. Nella Console di amministrazione Google, vai a Menu e poi Report e poiControllo e indagine e poiEventi dei log di Gmail.

    È necessario disporre del privilegio amministrativo Controllo e indagine.

  2. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  3. Fai clic su Aggiungi un filtro e poiseleziona un attributo. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
  4. Seleziona un operatore e poiseleziona un valore e poifai clic su Applica.
    • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
    • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
  5. Fai clic su Cerca. Nota: utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori E/O.

Strumento di indagine sulla sicurezza

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poiCentro sicurezza e poiStrumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Origine dati e seleziona Eventi dei log di Gmail.

  3. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  4. Fai clic su Aggiungi condizione.
    Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
  5. Fai clic su Attributo e poi seleziona un'opzione. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
    Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi.
  6. Seleziona un operatore.
  7. Inserisci un valore o selezionane uno dall'elenco.
  8. (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi.
  9. Fai clic su Cerca.
    Puoi esaminare i risultati di ricerca dello strumento di indagine in una tabella nella parte inferiore della pagina.
  10. (Facoltativo) Per salvare la tua indagine, fai clic su Salva e poiinserisci un titolo e una descrizione e poifai clic su Salva.

Note

  • Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
  • Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
  • Puoi cercare dati solo nei messaggi che non sono ancora stati eliminati dal cestino.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi dei log.

Attributo Descrizione

Nome dell'applicazione dell'attore

Devi aggiungere questa colonna ai risultati di ricerca. Per i passaggi, vai a Gestire i dati delle colonne dei risultati di ricerca.

Dettagli sull'applicazione utilizzata per eseguire l'azione. Per esaminare le seguenti informazioni, fai clic sul nome nei risultati di ricerca:

  • Nome dell'applicazione dell'attore: nome dell'applicazione utilizzata per eseguire l'azione (compilato per app di terze parti e per alcune app proprietarie, come Gmail)
  • ID client OAuth dell'attore: identificatore dell'app di terze parti utilizzata per eseguire l'azione
  • Furto d'identità: indica se l'app ha rubato l'identità di un utente

Se esporti le informazioni in un file con valori separati da virgole (CSV) o in Fogli Google, le informazioni vengono salvate come un unico blocco di testo all'interno di una cella.
Estensione allegato ID del browser Chrome
Hash allegato Hash SHA256 dell'allegato
Famiglia malware degli allegati Categoria di malware, se rilevata durante la gestione del messaggio, ad esempio I contenuti potrebbero essere dannosi, Programma dannoso noto o Virus/worm
Nome allegato Nome dell'allegato
Tipo di client Tipo di client Gmail, ad esempio web, Android, iOS o POP3
Data Data e ora dell'evento (nel fuso orario predefinito del browser).
Delega Indirizzo email dell'utente delegato che ha eseguito l'azione per conto del proprietario
Identificatore sessione dispositivo L'ID univoco generato per una sessione utente client di posta
Dominio DKIM Il dominio autenticato con il meccanismo DKIM (Domain Keys Identified Mail)
Dominio Il dominio in cui si è verificata l'azione
Evento L'azione dell'evento registrato, ad esempio Download allegati, Clic sul link, Invia o Visualizza.
Da (busta) Indirizzo della busta del mittente
Da (indirizzo intestazione) Indirizzo dell'intestazione del mittente esattamente come appare nelle intestazioni del messaggio, ad esempio user@example.com
Da (nome intestazione) Nome visualizzato sull'intestazione del mittente, come appare nell'intestazione del messaggio
Geolocalizzazione Codice paese ISO basato sull'IP di inoltro
Contiene un allegato L'email include un allegato
Con delegato Indica se esisteva un utente delegato che ha eseguito l'azione per conto del proprietario
Indirizzo IP Indirizzo IP del client di posta che ha avviato o interagito con il messaggio

ASN IP

Devi aggiungere questa colonna ai risultati di ricerca. Per i passaggi, vai a Gestire i dati delle colonne dei risultati di ricerca.

Numero di sistema autonomo (ASN) IP, sottodivisione e regione associati alla voce di log.

Per esaminare l'ASN IP, la sottodivisione e il codice regione in cui si è verificata l'attività, fai clic sul nome nei risultati di ricerca.
Dominio del link Dominio o domini estratti da URL di link contenuti nel corpo del messaggio
ID messaggio L'ID messaggio univoco che si trova nell'intestazione del messaggio
ID progetto OAuth ID progetto della console Cloud dello sviluppatore che ha eseguito l'autenticazione con OAuth
Proprietario Proprietario del messaggio email. Per un messaggio in entrata, è il destinatario. Nel caso di un messaggio in uscita, si tratta del mittente
Risorse

Elenco delle risorse associate all'azione. Fai clic su una risorsa per visualizzare i seguenti dettagli:

  • ID risorsa: l'identificatore della risorsa
  • Titolo risorsa: titolo della risorsa
  • Tipo di risorsa: elemento di Google Drive, email, avviso, regola e così via
  • Relazione con risorsa: relazione della risorsa con l'evento

  • Etichetta risorsa: elenco delle etichette di classificazione per una risorsa, inclusi ID etichetta risorsa, Titolo etichetta risorsa e Campo etichetta risorsa.

    Il campo Etichetta risorsa contiene:

    • ID campo etichetta
    • Nome campo etichetta
    • Tipo di campo Etichetta: il tipo di dati del campo etichetta, ad esempio:
      • Testo
      • Number
      • Selezione inclusa: ID, nome visualizzato, Con badge
      • Elenco selezioni
      • Utente: incluso: email
      • Elenco utenti
      • Data

Se esporti le informazioni in un file con valori separati da virgole (CSV) o in Fogli Google, le informazioni vengono salvate come un unico blocco di testo all'interno di una cella.
Dominio mittente Dominio del mittente
Classificazione spam Classificazione del messaggio email come spam, ad esempio Spam, malware, phishing, sospetto o Pulito (non spam)
Motivo classificazione spam Motivo per cui il messaggio è stato classificato come spam, ad esempio Spam palese, Regola personalizzata, Reputazione mittente o Allegato sospetto
Dominio SPF Nome di dominio utilizzato per l'autenticazione SPF (Sender Policy Framework)
Oggetto La riga dell'oggetto dell'email
Hash degli allegati di destinazione Informazioni sull'hash dell'allegato SHA256 se un utente interagisce con l'allegato di un messaggio
Famiglia malware degli allegati di destinazione Informazioni sulla famiglia di malware degli allegati se gli utenti interagiscono con l'allegato di un messaggio, ad esempio I contenuti potrebbero essere dannosi, Programma dannoso noto o Virus/worm
Nome degli allegati di destinazione Informazioni sul nome dell'allegato se gli utenti interagiscono con l'allegato di un messaggio
ID unità di destinazione Informazioni sull'ID Drive se gli utenti interagiscono con l'elemento di Drive di un messaggio
URL del link di destinazione Informazioni sull'URL del link se gli utenti interagiscono con il link di un messaggio
A (busta) Indirizzo della busta del destinatario
Sorgente di traffico Indica se un'email viene inviata/ricevuta internamente (all'interno del tuo dominio) o esternamente

Intervenire in funzione dei risultati di ricerca

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli sulle azioni che puoi eseguire nello strumento di indagine sulla sicurezza, vedi Intervieni in funzione dei risultati di ricerca.

Gestire le indagini

Visualizzare l'elenco delle indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella accanto a un'indagine, quindi fai clic su Azioni.

Nota:nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.

Configurare le impostazioni per le indagini

Come super amministratore, fai clic su Impostazioni per :

  • Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
  • Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
  • Attiva o disattiva l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
  • Attiva o disattiva l'opzione Abilita motivazione azione.

Per istruzioni e dettagli, vai a Configurare le impostazioni per le indagini.

Gestire le colonne nei risultati di ricerca

Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.

  1. Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
  2. (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi elemento .
  3. (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
    Ripeti questa operazione in base alle necessità.
  4. (Facoltativo) Per modificare l'ordine delle colonne, trascina il nome della colonna.
  5. Fai clic su Salva.

Esportare i dati dai risultati di ricerca

Nello strumento di indagine sulla sicurezza puoi esportare i risultati di ricerca in Fogli Google o in un file CSV. Per le istruzioni, vedi Esportare i risultati di ricerca.

Condividere, eliminare e duplicare le indagini

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per maggiori dettagli, vedi Salvare, condividere, eliminare e duplicare le indagini.

Quando sono disponibili i dati? Per quanto tempo?

Per saperne di più sulle origini dati, vedi Conservazione dei dati e tempi di attesa.